從法律的觀點看，對某個組織重要的控制措施包括，根據適用的法律：

a)數據保護和個人信息的隱私（見15.1.4）；

(6)國家質量監督檢驗檢疫總局2001年12月公布的《采用國際標準管理辦法》中： 第十三條我國標準采用國際標準的程度代號為：

IDT:等同采用(identical)；

MOD:修改采用(modified)。

第十五條采用國際標準的我國標準的編號表示方法如下：

（一）等同采用國際標準的我國標準采用雙編號的表示方法，示例：GB×××××一××××／ISO× ××××：××××。

（二）修改采用國際標準的我國標準，只使用我國標準編號。 本書中的等同采用標準就采用上述標識方法。

《采用國際標準管理辦法》全文可以在國家質量監督檢疫總局官方網站的標準化法律法規欄目查閱，網址為：http: //www. aqsiq. gov. cn/zwgk/flgz/bzhflfg/200610/t20061027 17178. htm。

b)保護組織的記錄（見15.1.3）； c)知識產權（見15.1.2）。

被認為是信息安全的常用慣例的控制措施包括：

a)信息安全方針文件（見5.1.1）；

b)信息安全職責的分配（見6.1.3）；

c)信息安全意識、教育和培訓（見8.2.2）；

d)應用中的正確處理（見12.2）；

e)技術脆弱性管理（見12.6）；

f)業務連續性管理（見14）；

g)信息安全事故和改進管理（見13.2）。 這些控制措施適用于大多數組織和環境。

應注意，雖然本標準中的所有控制措施都是重要的并且是應被考慮的，但是應根據某個組織所面臨的特定風險來確定任何一種控制措施是否是合適的。因此，雖然上述方法被認為是一種良好的起點，但它并不能取代基于風險評估而選擇的控制措施。